Криптографические протоколы распределения ключей для групп
       

Проект CLIQUES


Целью данного проекта являлась разработка протокола обмена для выработки ключа для групп. Такой протокол должен поддерживать все групповые операции по удалению, включению новых участников в группу. На основе этого протокола необходимо было создать специальный прикладной программный интерфейс (CLQ-API) , позволяющий работать приложениям в неких абстрактных группах. Протокол во многом основывается на вышеописанных протоколах аутентичного обмена. Ограничимся рассмотрением только математических принципов проекта. Не будем рассматривать полученные результаты (по эффективности), программные реализации.

В качестве базового протокола обмена для выработки общего ключа был выбран протокол A-GDH.2 (однако возможно использование и SA-GDH.2). Предполагается, что участники группы уже сформировали общий ключ.

Рассмотрим основные операции, которые позволяет выполнять разработанный протокол.

1. Операции для одного участника группы: включают в себя добавление или удаление одного участника группы. Данные ситуации появляются, когда кто-то хочет присоединиться к группе или покинуть ее. Эти операции могут проводится контролером группы или по согласию каждого участника группы (в зависимости от используемой политики безопасности).

2.

Операции для нескольких участников: также включают в себя добавление и удаление. Однако есть отличия, обусловленные желанием проводить операции с несколькими участниками сразу, а не с каждым в отдельности:

  • массовое присоединение: несколько участников хотят присоединиться к существующей группе;

  • слияние групп: две или более групп желают соединиться в одну;

  • массовый выход из группы: несколько участников хотят покинуть группу;

  • разделение групп: группа распадается на две или более частей.

    •  

    3.

    Операции по обновлению ключа обусловлены двумя причинами:

    • ограничением шифртекста, получаемого на одном ключе для ограничения возможности получения пар открытый текст/шифртекст для проведения криптоанализа (время жизни ключа определяется выбранной политикой);


      • предохранением от компрометации текущего ключа или вклада каждого участника.

        • Итак, список операций, выполняемых протоколом, выглядит следующим образом:
        • присоединение (JOIN): новый участник добавляется в группу;



        • слияние (MERGE): один или более участников добавляются в группу;

        • выход из группы (LEAVE): один или более участников покидают группу;

        • обновление ключа (KEY REFRESH): генерация нового ключа для группы.

          • Для простоты, считается, что последний участник группы является контролирующим группы (это может быть легко исправлено и не является критическим требованием).
          Присоединение
          Операция добавляет нового участника Mn+1 к группе из n участников. Во время операции вычисляется новый групповой ключ Sn+1 , и Mn+1 становится новым контролирующим группы. Предполагая, что Mn
          является текущим контролирующим группы, протокол выглядит следующим образом:
          1.      Mn вырабатывает новое значение rn’ и получает множество[2]
          чисел
          M={g r1…rn’/ri | iÎ[1,n-1]} È{
          g r1…rn-1 }È{ g r1…rn’ }
          Затем M посылается Mn+1.
          2.      После получения сообщения Mn+1 вырабатывает число rn+1 и вычисляет значение g Ki,n+1r1…rn’rn+1/ri
          для всех i из [1,n]. Затем это множество рассылается всей группе.
          3.      При получении каждый Mi вычисляет групповой ключ как
          (g Ki,n+1r1…rn’rn+1/ri)K-1i,n+1ri= g r1…rn’rn+1= Sn+1. А Mn+1 вычисляет ключ, используя сообщение из шага (1).
          Шаги (1) и (2) требуют n экспоненцирований, шаг (3) требует одно экспоненцирование для каждого участника группы. Общее число экспоненцирований для получения ключа равно 2n+1 (считается, что на третьем шаге экспоненцирования происходят одновременно и по времени равны одному).
          Слияние
          Операция используется для добавления k>0 участников к существующей группе из n>1 участников. Пусть m=n+k. Во время операции вырабатывается новый групповой ключ Sm, и Mm становится новым контролирующим группы. Предполагая, что Mn


          является текущим контролирующим группы, протокол выглядит следующим образом:
          1.      Mn вырабатывает новое значение rn’ и вычисляет[3]
          g r1…rn-1rn’. Затем это сообщение отправляется к Mn+1.
          2.      Каждый участник Mj , j=n+1,…,m-1 вырабатывает число rj и вычисляет  gr1….rn’…rj . Это сообщение посылается Mj+1.
          3.      После получения сообщения, Mm рассылает полученное значение всей группе
          4.      После получения сообщения каждый участник Mi, i=1,2,…,m-1 группы вычисляет g(r1….rn’…rm-1)/ri и посылает его Mm.
          5.      Mm вырабатывает rm
          и получает множество
          M={ g Ki,m r1…rn’ … rm/ri | iÎ[1,m-1]}.
          Затем оно посылается группе.
          6.      При получении сообщения шага (5) каждый Mi
          , i=1,2…m-1 вычисляет групповой ключ как   (gr1…rn’…rmKim / ri)Kim-1ri= g r1…rn’…rm= Sm. Аналогично, Mm вычисляет ключ, используя сообщение из шага (3).
          Если k=2, то  шаг (2) не нужен, в остальном протокол выглядит также.
           Шаги требуют всего  k модульных экспоненцирований. Также, как и ранее, шаги (4) и (6) требуют по одному для каждого участника. Шаг (5) требует n+k-1 экспоненцирований. Число экспоненцирований для присоединения k участников равно n+2k+1.
          Операция присоединения также может быть использована для добавления k участников к группе. Это потребует повторить операцию присоединения k раз  – соответственно возрастает трудоемкость операции. Таким образом для массового добавления участников группы лучше использовать операцию слияния. Если использовать операцию слияния для добавления одного участника к группе, то получается на два экспоненцирования больше, чем для операции присоединения. Итак, присоединение используется для добавления одного участника к группе, а слияние – нескольких.
          Выход из группы
          Операция выхода из группы удаляет k участников из n участников текущей группы. Во время операции вычисляется новый групповой ключ Sn-k. Mn-k становится новым контролирующим группы, если Mn покидает группу. Для простоты предположим, что только один участник Md


          выходит из состава группы. Протокол выглядит следующим образом:
          1.      Mn вырабатывает новое rn’
          и получает множество
          M={ g Kin r1…rn’/ ri | iÎ[1,n-1] и i¹d}
          Затем М
          рассылается всем.
          2.      При получении сообщения Mi вычисляет
          (g Kinr1…rn’/ri)Kin-1ri= g r1…rn’= Sn. Mn вычисляет новый групповой ключ gr1…rn’=Sn используя старое значение.
          Участник Md не может вычислить новый групповой ключ, т.к. контролирующий группы не вычислил вспомогательный ключ gKdnr1…rn’/rd для Md. Если несколько участников покидают группу, то контролирующий группы не вычисляет нужные значения для выходящих из группы участников на шаге (1).
          Если из группы выходит контролирующий, то вышеописанные операции выполняет предпоследний участник группы Mn-1. Более того, поскольку новый контролирующий группы не может удалить из ключа долговременные ключи (они были у прошлого контролирующего группы), каждый участник Mi
          должен заново вычислить свой случайный сеансовый ключ как ri= ri*(Kin-1 mod q) перед выполнением шага (2).
          Шаг (1) требует n-k экспоненцирований. Шаг (2) требует одно экспоненцирование от каждого участника группы. Таким образом, операция выхода из группы требует n-k+1 модульных экспоненцирований.
          Обновление ключа
          Операция обновления ключа выполняет замену группового ключа на новый. Использование этой операции зависит от используемой политики приложения, использующего CLIQUES или политики работы с ключами для предприятия. Эта операция выглядит также, как и операция выхода из группы с k=0, т.е. на первом шаге Mn вырабатывает множество
          M={ g Kin r1…rn’/ ri | iÎ[1,n-1]}
          для всех участников группы.
          Приведенный протокол  является протоколом аутентичного обмена и обладает свойством контрибутивности, что гарантирует независимость ключа (так как в его формировании участвуют все участники группы), может обеспечивать подтверждение ключа (как это было описано выше), обладает свойством PFS и устойчив к атакам по известному ключу (многие свойства следуют из рассмотренного ранее протокола A-GDH.2).


          Таким образом, с использованием приведенных выше операций достигается полноценная работы группы. На основе приведенного протокола был разработан интерфейс прикладного программирования (Application Programming Interface - API). В работах [3,5] приводятся форматы заголовков сообщений и принципы построения приложений на основе CLIQUES-API. Он принят как проект стандарта для Internet. Программные реализации математических принципов, используемых в протоколах, можно найти в крипто-библиотеках Crypto++[6] и RSAREF[7].
          Между тем, приведенная схема работы не лишена недостатков. Во-первых – и это, наверное, самый главный из них – приходится менять ключ для всей группы при изменении ее состояния. Это может подходить для небольших групп, но при большом числе участников становится серьезной трудностью. В этом случае все будет зависеть от динамики группы. На решение этой задачи были направлены усилия разработчиков. Также решающую роль играет пропускная способность каналов связи между участниками, поскольку в случае появления участника со слабым каналом (тем более, если это контролирующий группы) встает вопрос о временных факторах формирования ключа. Возможна ситуация непроизвольного «выкидывания» (в случае отсутствия необходимых механизмов) участника, использующего канал с низкой пропускной способностью в случае высокой динамики группы. Он просто не будет успевать получать новые данные для формирования ключа.
          Во-вторых – довольно высокое число экспоненцирований в операциях протокола. 

          Содержание раздела